Vulnerabilidad por defecto en las cuentas de Gmail

He decidido comenzar esta sección con un tema que si bien no es novedoso ni de actualidad (contradiciéndome un poco) si es un tema a mi parecer de importancia dada la gran cantidad de gente que usa Gmail desde hace tiempo (más allá de los miles, tal vez millones de usuarios de Blogger que exige la posesión de una cuenta de Gmail) y que resulta interesante ante un ataque reciente a mi persona desde una cuenta de Gmail precisamente.

Antes de entrar en materia hagamos un poco de historia para aquellos que no conocen aun el servicio de correo de Google.

 

Un poco de historia: 

Gmail fue un proyecto originalmente creado por Paul Buchheit (quien es el creador de AdSense también) varios años antes de salir a la luz y denominado Caribou; usado como cliente de correo interno del personal de Google.

 Eternamente Beta Beta...

Inicialmente Google invitó a cerca de 1000 empelados, amigos y familiares como beta testers que iniciaron el 21 de marzo de 2004. Posteriormente a los usuarios activos de la comunidad de Blogger.com se les ofreció la oportunidad de participar 4 días después. Gmail inició su servicio al público el 1º de abril de 2004 (el día de los inocentes en el mundo anglosajón, Japón y otros países). El sistema inició a partir del grupo de usuarios originales quienes ocasionalmente recibían invitaciones para extender el servicio a sus amigos. Se lanzó una ronda de 3 invitaciones por usuario el 1º de mayo, seguida de otra un mes después. Un par de semanas después el número de invitaciones había crecido con numerosos usuarios recibiendo entre 3 y 5 de ellas.

Para principios de 2005 (2 de febrero) la interfaz de invitaciones fue modifica para hacerla más fácil de repartir mediante un aviso por correo electrónico, obteniendo cada usuario, de este modo 50 invitaciones y tiempo después 100 con lo cual se esperaba que Gmail fuese un servicio de acceso público tal y como lo es ahora (En enero de 2007, se liberaron completamente los registros en Gmail).

Como dato curioso y de acuerdo a PCMagazine, la popularidad de Gmail en su momento fue tal que las invitaciones de Gmail llegaron a venderse en eBay hasta en 150 dólares y algunas cuentas llegaron a venderse en varios miles de dólares. Tras la segunda ronda de invitaciones e junio de 2004 la cotización se desplomó hasta 5 dólares llegando a un mínimo de 2. Finalmente el 28 de junio de 2004 Google prohibió la venta de las invitaciones y cuentas. Otro detalle es que pese a estar abierto al publico desde hace 5 años la versión actual de Gmail sigue siendo beta.

Y como colofón para los profanos (si es que existen aun) resumiré algunas de las características de Gmail que lo han hecho tan codiciado y popular desde sus inicios… quizás sea bueno hacer uno o dos posts más sobre Gmail, pero bueno que sea el publico el que decida.

 

1. Capacidad de almacenamiento: Actualmente tener un buzón de más de 1 Gb de capacidad es normal, sin embargo en 2004 los servicios de correo gratuitos más populares como Yahoo o Hotmail ofrecían 7 y 2 MB de almacenamiento, y algunos servicios menos populares y remotos en Rusia por ejemplo, 25 MB que era ya un buen tamaño para los estándares de la época, hasta que llegó Gmail y dejó a todos muy atrás al ofrecer 1 GB de capacidad, algo insólito en su época. Actualmente ofrece una capacidad de almacenamiento de más de 7 GB más lo que se acumule en la semana ya que la tasa de crecimiento es de unos 4 bytes/s. Ahora se encuentra en el segundo lugar, puesto que Yahoo! Mail y AOL Mail comparten el primer lugar al ofrecer espacio ilimitado, y Windows Live Mail ofrece 25 GB de almacenamiento gratuito.

2. Presenta un sistema de búsqueda de mensajes simple y avanzado, como cambiar el idioma, poner aviso de vacaciones, similar al del buscador de Google, además, proporciona un mecanismo de etiquetado de mensajes, que revoluciona a las tradicionales carpetas.

3. Utiliza tecnología AJAX, siendo pioneros en emplearla, aunque también dispone de una interfaz basada en HTML+CSS útil para navegadores antiguos o no compatibles.

4. Posee un poderoso filtro de mensajes que dispone de muchas opciones más allá de etiquetar los mensajes automáticamente, lo que permite administrar con facilidad cuentas grandes que reciben volúmenes masivos de mensajes al día.

5. Una monería adicional vigente desde mi 26 cumpleaños es que los usuarios pueden elegir entre 30 temas para personalizar la interfaz de usuario tal y como sucede en las redes sociales tan de moda en la actualidad.

El problema

Pero no todo es felicidad en Gmail. Desde un inicio a fin de lograr la mayor compatibilidad con navegadores, dispositivos móviles y administradores de correo se estableció por defecto la conexión a sitios de almacenamiento de información sensible (tales como el nickname o el password, la pregunta secreta y otra información de índole personal) sin fijar de antemano una capa de cifrado; asumiendo que el usuario se percataría de ese detalle y lo resolvería a su favor.

Lamentablemente la mayoría de los usuarios no somos tan quisquillosos como para hacer un análisis exhaustivo de cómo funciona nuestro servicio de correo electrónico. En el caso de estos servicios la lógica nos lleva a creer que se sacrifica la compatibilidad en aras de ofrecer una mayor seguridad o en el mejor de los casos, un punto de equilibrio entre ambas características; aunque al parecer la gente de Google parece entenderlo exactamente al revés.

Curiosamente para los que saben del negocio este es uno de los agujeros de seguridad más frecuentes en el flujo de información a través de la red, que uno no esperaría de una empresa con el tamaño y experiencia de Google.

Una de las brechas de seguridad más frecuentes en el tráfico web, suele ser la conexión a lugares donde se almacena información sensible sin establecer dicha conexión bajo una capa de cifrado, es el caso de las cuentas de Gmail con su configuración por defecto, claramente insegura. Esto se vuelve alarmante al haber muchos usuarios de Gmail (yo diría que la mayoría y me incluyo) que se conectan exclusivamente a través del navegador y no mediante clientes de correo como (Outlook, Evolution, Thunderbird, Kontact u otros), con los cuales en el caso de recibir el correo vía POP o IMAP, normalmente se hace bajo SSL (Segure Socket Layer) o TSL (Transport Layer Security), su sucesor y esos correos llegarán a sus sistemas bajo cifrado, por lo que en el caso de que alguien intente interceptar con un Packet sniffer (un programa que permite capturar y analizar trazas de datos de la red ya sea con fines didácticos o malintencionados) esos datos, al no circular como texto plano (sino cifrados), serán mucho más difíciles de capturar.

Evidentemente quien acceda a Gmail desde su navegador no cuenta con esta protección.Para evitar esto en la navegación, se usa el protocolo HTTPS (Hypertext Transfer Protocol Secure) que es similar al conocido HTTP (Hypertext Transfer Protocol) pero bajo una capa de cifrado vía SSL y es básicamente lo que se recomienda para un uso correcto y más seguro de Gmail.

Esta opción se hace imprescindible en el caso de que se conecten vía web a Gmail a través de redes “no seguras” como pueden ser una Wi-Fi pública o abierta (suya o del vecino), un café-internet (nada recomendable), una terminal en la escuela o la oficina, una computadora compartida, etc.

Solución 

La forma de solucionar este problema es en realidad muy simple a través de los siguientes pasos:

1. Accede a tu cuenta de Gmail tal y como cuando revisas tu correo desde tu navegador favorito.

2. Haz clic en Configuración (se encuentra en la parte superior de la página de Gmail a la derecha de tu dirección de correo electrónico

3. Al entrar en la página de Configuración, en la parte inferior de la pagina selecciona “Usar siempre https” para la “Conexión del navegador:” que es de hecho, la última opción de configuración.

4. Haz clic en “Guardar cambios”

5. Recarga la página de Gmail dando click en el logo ubicado en el extremo superior izquierdo de la ventana y listo.

 Bien con esto salen del paso, aun así la opción más segura es, además de activar la opción de https, combinarla con el uso de algún cliente de correo electrónico que pueden realizar en su equipo propio en la casa o si tienen un equipo asignado en el trabajo. Para aquellos que carecen de tales opciones pueden cargar en un Pendrive USB una versión portátil de Thunderbird (http://portableapps.com/apps/internet/thunderbird_portable) y ejecutarla en cualquier equipo que corra sobre Windows.

 Para aquellos que dudan de la veracidad de esta advertencia, hagan la prueba usando la configuración de su cuenta de Gmail por defecto y analicen su tarjeta de red mediante un programa como Dsniff (disponible en algunas distros de gnu/Linux como NUbuntu, etc.) http://www.monkey.org/~dugsong/dsniff/

 Y cuando vean su contraseña de correo electrónico, así como todos sus mails en texto plano en la pantalla de su equipo, se darán cuenta de lo fácil que es romper la seguridad de su cuenta.

Gmail informa que con la opción HTTPS activada, puede haber alguna incompatibilidad con su notificador de correo, subsanable con un parche que ellos mismos proveen y también que en algún caso, su aplicación de Gmail para celulares puede funcionar incorrectamente (también hay instrucciones sobre cómo intentar solventarlo). También hablan de una posible lentitud en el servicio pero si ponderamos las ventajas contra las desventajas la balanza a mi parecer siempre se inclina a favor de la seguridad.

Por último quiero señalar que no existe método infalible para garantizar la seguridad de nuestro servicio de correo electrónico pero, si seguimos estas recomendaciones es seguro que no seremos tan vulnerables y en el caso de que alguien desee acceder a nuestra información la tenga más difícil.

Referencias:

•  http://www.daboweb.com/2009/04/15/cuentas-de-gmail-inseguras-por-defecto-activa-https-conexion-segura/
  
• http://es.wikipedia.org/wiki/Gmail
  
• http://en.wikipedia.org/wiki/History_of_Gmail